El acceso no aprobado a los datos de estos sensores no debe, en principio, comprometer la identidad o el dispositivo del usuario. Además una página web sólo puede ver estos sensores mientras el usuario esté navegando activamente por ella, nunca en segundo plano. Por eso el World Wide Web Consortium clasifica los datos de estos sensores como “no suficientemente sensibles como para justificar la concesión de permisos específicos”.
No obstante los investigadores hacen notar que en un sitio web malicioso, esta información podría alimentar varios tipos de ataques, como el uso de datos de luz ambiental para tener información de los hábitos de navegación de un usuario, o el uso de datos del sensor de movimiento como una especie de registrador de teclas para deducir cuestiones como los números PIN o las contraseñas.
En este caso se analizaron nueve navegadores (Chrome, Edge, Safari, Firefox, Brave, Focus, Dolphin, Opera Mini y UC Browser) que manejan el acceso los citados sensores. Todos ellos permiten que las páginas web accedan a los sensores de movimiento y orientación sin permiso. Además, en el caso de Firefox también se permitía el acceso a los sensores de proximidad y de luz en versiones recientes; aunque el navegador eliminó este acceso predeterminado a partir de la versión 60 en mayo de este año.
Los bloqueadores, sin efecto
Los investigadores también han revelado que los populares bloqueadores o filtros de publicidad que testaron no detenían de manera fiable los scripts, detectándolos en menos de un 10% de los casos. De hecho, en la mayoría de casos sólo lo lograban entre un 2% y un 3% de las veces.
Por otro lado, al clasificar los scripts de los sensores por su objetivo descubrieron que algunos tenían usos benignos, como orientar y redimensionar páginas o reaccionar a los gestos, otros estaban relacionados con generadores de números aleatorios y una tercera categoría -cerca de 1200 webs- parecían estar usando datos de sensores en temas de seguimiento y la recopilación de datos para análisis o reconocimiento de audiencias.
Origen: Páginas web espían los sensores de los móviles – Panda Security